暗雲

一個影響百萬計算機的危險木馬被第一時間攔截查殺。據悉，該木馬能夠使用多種複雜技術潛伏於電腦磁盤引導區中，並通過雲端攻擊危害用户，是迄今為止最複雜的木馬之一，被騰訊電腦管家安全專家命名為“暗雲”。“暗雲”木馬並沒有具體的文件形態，它潛伏於用户電腦的磁盤引導區內，通過雲端數據下載病毒代碼向電腦發起攻擊，並可破壞殺毒軟件功能，即便用户格式化硬盤也難以清除，查殺該木馬的技術難度超越之前的“鬼影”病毒 ^[2]  。

電腦開機後，受感染的磁盤MBR第一時間獲得CPU的控制權，其功能是將磁盤3-63扇區的木馬主體加載到內存中解密執行，木馬主體獲得執行後通過掛鈎int 15中斷來獲取第二次執行的機會，隨後讀取第二扇區中的備份MBR正常地引導系統啓動。系統引導啓動時會通過int 15中斷查詢內存信息，此時掛鈎15號中斷的木馬便得以第二次獲得CPU控制權，獲得控制權後木馬掛鈎BILoadImageEx函數，調用原始15號中斷並將控制權交回給系統繼續引導。當系統引導代碼調用BILoadImageEx加載ntoskrnl.exe時，木馬便第三次獲得控制權，獲得控制權後木馬再一次執行掛鈎操作，此次掛鈎的位置是ntoskrnl.exe的入口點，隨後將控制權交給系統繼續引導。當引導完畢進入windows內核時，掛鈎ntoskrnl入口點的木馬代碼第四次獲得CPU控制權，此時木馬已真正進入windows內核中，獲得控制權後，分配一塊內存空間，將木馬內核的主功能代碼拷貝到分配的空間中，並通過創建PsSetCreateThreadNotifyRoutine回調的方式使主功能代碼得以執行。至此完成木馬由MBR到windows內核的加載過程。

如果發現電腦存在下列症狀，最好使用殺毒軟件查殺暗雲木馬：

1、 桌面出現“美女視頻直播”快捷方式； ^[3] 

2、 訪問baidu.com時網址後面自動加上了一個奇怪的字符串；

3、 電腦出現過RUNDLL錯誤提示框；

4、安卓手機連接電腦後莫名其妙裝上haomm等應用，電腦裏查出xnfbase.dll、thpro32.dll等文件，或者你所在qq羣出現由你分享的私服遊戲（實際上是木馬利用qq漏洞上傳的）；

暗雲木馬查殺(3張)

5、由於暗雲木馬感染了MBR（磁盤主引導區），即使重裝系統，MBR裏的惡意代碼還會聯網下載木馬病毒進來，電腦中毒症狀會再次出現。 ^[3] 

近日，紀錄片《大國重器》（第二季）正式迴歸，影片中騰訊安全聯合實驗室便向觀眾全面還原了2017年影響用户人數最大的“暗雲Ⅲ”木馬攻防戰。 ^[4] 

一個名叫“暗雲”的木馬被媒體熱炒，據稱該木馬查殺難度很高，即使重裝系統也無法徹底清除。其實暗雲木馬和前些年流行的鬼影系列木馬一樣，都是通過感染磁盤主引導區（MBR）頑固駐留，因此查殺暗雲木馬也需要對症下藥 ^[3]  。

曾影響百萬用户電腦的“暗雲”系列病毒再度變種來襲。近日，騰訊電腦管家發現一個後門程序潛伏在用户電腦，因其篡改系統內核信息，導致多個玩家玩某遊戲時出現卡死問題。經騰訊電腦管家安全專家分析發現，該後門程序為騰訊電腦管家於2015年1月首次發現並命名的暗雲系列病毒木馬，並且與暗雲II相比出現新的進化特徵，升級為“暗雲III” ^[5] 

2017年6月9日至今，中國國家互聯網應急中心監測發現中國境內有160餘萬台電腦感染了此木馬。為此，中國國家互聯網應急中心首次開通了“暗雲”木馬感染數據免費查詢服務，點擊網址即可查詢使用的IP地址是否受到木馬感染。 ^[1]